COBIT 5 FOR INFORMATION SECURITY EIN VERGLEICH

COBIT 5 FOR INFORMATION SECURITY EIN VERGLEICH Verfasser/in: Tobias Angehrn, Michael Schubiger, Pascal Eigenmann, Gabriela Caduff Projektcoach: Christian Thiel Wirtschaftsinformatik Seminar an der FHS St.Gallen, Hochschule für Angewandte Wissenschaften 2012

FHS-Projektteam: Tobias Angehrn Projektleiter Pascal Eigenmann Michael Schubiger Gabriela Caduff Projekt-Coach: Dr. Christian Thiel Eingereicht am: 04. Januar 2013

Inhaltsverzeichnis III Inhaltsverzeichnis Inhaltsverzeichnis... III Abbildungsverzeichnis... V Tabellenverzeichnis... VI Abkürzungsverzeichnis... VII 1 COBIT 5... 1 1.1 Grundidee von COBIT 5... 1 1.1.1 Meeting Stakeholder needs Bedürfnisse der Stakeholder treffen... 2 1.1.2 Covering the enterprise end to end Abdecken der gesamten Unternehmung... 3 1.1.3 Applying in a single integrated Framework Verwendung eines Frameworks... 4 1.1.4 Enabling a holistic approach Ganzheitlicher Ansatz... 5 1.1.5 Separating governance from management Von Management zu Governance... 6 1.2 COBIT 5 for Information Security... 7 1.2.1 Prinzipien, Strategien und Frameworks... 7 1.2.2 Prozesse... 8 1.2.3 Organisationsstruktur... 8 1.2.4 Kultur, Ethik und Verhalten... 8 1.2.5 Information... 9 1.2.6 Services, Infrastruktur und Applikationen... 9 1.2.7 Personen, Fähigkeiten und Kompetenzen... 9 2 Weitere Standards... 10 2.1 ISO 27001... 10 2.1.1 Einleitung... 10 2.1.2 Anwendungsbereich... 10 2.2 BSI Grundschutz Standards... 11 2.2.1 Einleitung... 11 3 Vergleichskriterien... 12 3.1 Auswahl der Kriterien... 12 3.2 Einteilung der Kriterien... 12

Inhaltsverzeichnis IV 4 Vergleich... 13 4.1 Vergleich basierend auf COBIT 5... 13 4.2 Vergleich basierend auf ISO 27001... 16 4.3 Zertifizierung... 17 5 Empfehlungen... 18 5.1 Szenario A... 18 5.2 Szenario B... 18 5.3 Szenario C... 18 5.4 Empfehlung an ISACA... 18 Quellenverzeichnis... 19 Anhänge... 1 Anhang A... 1 Vertraulichkeitserklärung... 3

Abbildungsverzeichnis V Abbildungsverzeichnis Abb. 1: Grundprinzipien von COBIT 5... 1 Abb. 2: Zielpyramide von COBIT 5... 2 Abb. 3: Umfang von COBIT 5 in einer Unternehmung... 3 Abb. 4: Integration von anderen Standarts in COBIT 5... 4 Abb. 5 Ganzheitlicher Ansatz von COBIT 5, die sieben Enablers... 5 Abb. 6 Dimension der Enabler in COBIT 5... 5 Abb. 7 Bereiche von COBIT 5... 6 Abb. 8 Gesamtpalette von COBIT 5... 7 Abb. 9 Prinzipien, Strategien und Frameworks für Information Security... 7 Abb. 10: Gesamtübersicht Prozesse der verschiedenen Standards... 13 Abb. 11: Prozessanzahl Evaluate, Direct and Monitor... 14 Abb. 12: Prozessanzahl Align, Plan and Organise... 14 Abb. 13: Prozessanzahl Build, Aquire and Implement... 15 Abb. 14: Prozessanzahl Deliver, Service and Support... 15 Abb. 15: Prozessanzahl Monitor, Evaluate and Assess... 16 Abb. 16 Prozessanzahl basierend auf ISO 27001... 16

Tabellenverzeichnis VI Tabellenverzeichnis Tab. 1: Rollen in COBIT 5 for Information Security... 8 Tab. 2: Arten der Information... 9

Abkürzungsverzeichnis VII Abkürzungsverzeichnis ISACA ISO IEC ISMS BSI Information System Audit and Control Association Internationale Organisation für Standardisierung Internationales elektronisches Komitee Informationssicherheits-Managementsystems Bundesamts für Sicherheit in der Informationstechnik

Kapitel 1: COBIT 5 1 1 COBIT 5 Ursprünglich ist COBIT für den Bereich des Audits 1996 von der Information System Audit and Control Association (ISACA) auf den Markt gekommen. Im Laufe der Jahre hat ISACA das Framework stets ausgebaut. 1998 wurde es um das Controlling erweitert. 2000 sollte es das Management unterstützen. Seit 2005 beschäftigt sich COBIT in der Version 4.0 mit IT Governance. Diese Arbeit beschäftigt sich mit COBIT 5, dass 2012 auf den Markt kam. Das Update erweitert COBIT auf das Level der Governance of Enterprise IT. (Information System Audit and Control Association [ISACA], 2012a) In diesem Kapitel wird auf die Grundidee von COBIT 5 und COBIT 5 for IT Security eingegangen. 1.1 Grundidee von COBIT 5 Bedürfnisse von Stakeholder treffen Abgrenzung von Management und Governance fünf Prinzipien von COBIT 5 Abdecken der gesamten Unternehmung Ganzheitlicher Ansatz Verwendung eines Frameworks Abb. 1: Grundprinzipien von COBIT 5 Eigene Darstellung basierend auf ISACA, 2012b COBIT 5 besteht aus fünf Prinzipien. Diese sollen gewährleisten, dass das Unternehmen einen Vorteil aus der IT ziehen kann. Diese Grundprinzipien helfen dem Unternehmen die Unternehmensziele zu erreichen. Das Framework zeigt den Firmen auf, was gemacht werden muss um erfolgreich zu sein. Es liefert dabei jedoch keine explizierten Methoden um dies zu bewerkstelligen.

Kapitel 1: COBIT 5 2 1.1.1 Meeting Stakeholder needs Bedürfnisse der Stakeholder treffen Umweltfaktoren technologische ökologische rechtliche ökonomische Bedürfnisse von Stakeholdern Risikooptimierung Ressourcenoptimierung Mehrwertgenerierung Unternehmensziele Informatikziele Prozess-, Einheits- oder Organisationsziele Abb. 2: Zielpyramide von COBIT 5 Eigene Darstellung basierend auf ISACA 2012b S. 18 Das erste Prinzip von COBIT 5 beschäftigt sich mit den Bedürfnissen der Stakeholder. Eine Unternehmung hat verschiedene Stakeholder, die auch gegenseitig in Konflikt stehen. Dadurch werden die Risiken aufgezeigt, die auch optimiert werden können. Wenn die Bedürfnisse der Stakeholder bekannt sind, kann man die Ressourcen auf diese anpassen was dem Unternehmen nützt. Es führt soweit, dass die Unternehmensziele davon abgeleitet werden können. Diese definieren wiederum die Informatikziele, die wiederum Ziele für die einzelnen Prozesse, Einheiten oder Organisationen vorgeben. COBIT 5 geht daher davon aus, dass die Bedürfnisse der Stakeholder eine wichtige Rolle im IT-Governance haben. ISACA hat eine Zielpyramide definiert, die in Abb. 2 ersichtlich ist. (ISACA, 2012b, S. 16-18)

Kapitel 1: COBIT 5 3 1.1.2 Covering the enterprise end to end Abdecken der gesamten Unternehmung Abb. 3: Umfang von COBIT 5 in einer Unternehmung Eigene Darstellung basierend auf ISACA 2012b S. 23-24 ISACA schreibt im Framework, dass in COBIT 5 alle relevanten Funktionen und Prozesse zu Informationen und Technologien für die Führung einer Unternehmung abgedeckt werden. Es greift dabei auf das Prinzipal 1 den Bedürfnissen der Stakeholder zurück.

Kapitel 1: COBIT 5 4 1.1.3 Applying in a single integrated Framework Verwendung eines Frameworks Abb. 4: Integration von anderen Standarts in COBIT 5 Quelle: ISACA 2012b S. 61 In Abb. 4 ist ersichtlich, dass die ISACA versucht hat, andere gängige Frameworks abzudecken. Es ist aber nicht so, dass COBIT 5 keine Ergänzungen durch andere Frameworks zulässt. Weiter wurde in der Version 5 Val IT und Risk IT integriert, wodurch es für Unternehmen einfacher wird, diese umzusetzen. (ISACA, 2012b S. 25)

Kapitel 1: COBIT 5 5 1.1.4 Enabling a holistic approach Ganzheitlicher Ansatz Abb. 5 Ganzheitlicher Ansatz von COBIT 5, die sieben Enablers Eigene Darstellung basierend auf ISACA, 2012b S. 27 In Abb. 5 sind sieben Enablers, die das Unternehmen beeinflussen, aufgezeigt. COBIT 5 basiert auf diesen sieben Enablers und sagt zu jedem etwas. Die Punkte eins bis vier beschäftigen sich mit Elementen die sich managen lassen. Die restlichen drei Punkte beinhalten sowohl Management als auch Government. (ISACA, 2012b, S. 27) Abb. 6 Dimension der Enabler in COBIT 5 Quelle: ISACA 2012b S. 25

Kapitel 1: COBIT 5 6 Alle sieben Enabler werden in COBIT 5 nach dem gleichen Schema beschrieben. Dieses ist in Abb. 6 ersichtlich. Jeder Faktor hat einen oder mehrere Stakeholder. Es soll für jeden Enabler ein Ziel erreicht werden. Jeder Enabler besitzt einen eigenen Lebenszyklus. Es wird weiter beschrieben, wie mit den jeweiligen Enabler umgegangen wird. (ISACA 2012b, S. 28) 1.1.5 Separating governance from management Von Management zu Governance Um eine Abgrenzung von Management und Governance zu erhalten, muss zuerst klar sein, was der Unterschied ist. ISACA definiert Governance und Management folgendermassen: Governance stellt die Bedürfnisse der Stakeholder sicher und evaluiert diese. Es setzt somit die Richtung für das Management fest. Weiter entscheidet Governance, was wichtig ist und überwacht dessen Umsetzung. (ISACA, 2012b, S. 31) Das Management plant die Handlungen zur Zielerreichung, setzt diese um und ist für den erfolgreichen Betrieb verantwortlich. Um dies zu gewährleisten, muss auch eine Überprüfung stattfinden. (ISACA, 2012b, S. 31) Abb. 7 Bereiche von COBIT 5 Quelle: eigene Darstellung basierend auf ISACA 2012b S. 33 Dies ist also ein Prozess, der den Wertgewinn ermöglichen soll. COBIT 5 gliedert dies in fünf Bereiche die in Abb. 7 ersichtlich sind. Es ist darauf zu achten, dass die Managementprozesse ein Teil der Governanceprozesse sind.

Kapitel 1: COBIT 5 7 1.2 COBIT 5 for Information Security Abb. 8 Gesamtpalette von COBIT 5 Quelle: ISACA 2012c S. 13 In Kapitel 1 wurde die Idee hinter COBIT 5 kurz vorgestellt. Über COBIT 5 gibt es mehrere Anwendungsgebiete. Der Guide über Information Security nimmt die sieben Enabler von COBIT 5 und wendet diese auf den Bereich der Sicherheit an. (ISACA, 2012c, S. 13) 1.2.1 Prinzipien, Strategien und Frameworks Abb. 9 Prinzipien, Strategien und Frameworks für Information Security Quelle: ISACA 2012c COBIT 5 schlägt vor, dass die Elemente, die in Abb. 9 ersichtlich sind, in einem Framework vorhanden sein müssen. Ein Framework stellt sich also aus fünf grundlegenden Teilen zusammen.

Kapitel 1: COBIT 5 8 Die Information Security Principles sind limitiert und sollen das Unternehmen verteidigen und unterstützen sowie ein entsprechendes Verhalten in Bezug auf die Sicherheit gewährleisten. Die Information Security Policy soll helfen die Information Security Principles umzusetzen. 1.2.2 Prozesse Auf der Prozessebene werden in COBIT 5 for Information Security die Prozesse von COBIT 5 aus der Sicherheitssicht angeschaut. Dies bedeutet, dass der Prozess nicht allgemein auf das Unternehmen angeschaut wird, sondern nur unter dem Aspekt der Sicherheit. Als Beispiel kann man den Prozess APO12 nehmen. COBIT 5 beschäftigt sich mit Risiken die das Unternehmen haben kann, darunter fallen verschiedene Arten von Risiken, wie zum Beispiel Brände oder Naturkatastrophen. In COBIT 5 for Information Security ist der Prozess APO12 jedoch spezifisch auf Risiken im Informatikbereich angewendet. 1.2.3 Organisationsstruktur Rolle Aufgabe Chief information security officer (CISO) Verantwortung für Informationssicherheit über das gesamte Unternehmen. Information security steering commitee (ISSC) Stellt die Überwachung und die Überprüfung der COBIT Prozesse und Frameworks über das Unternehmen sicher. Tab. 1: Rollen in COBIT 5 for Information Security Quelle: Eigene Darstellung basierend auf ISACA 2012c COBIT 5 for Information Security legt Vorschläge vor, die einem Unternehmen zeigen, welche Positionen in einem Unternehmen für die Sicherheit bestehen müssen. Einige Beispiele sind in Tab. 1 ersichtlich. 1.2.4 Kultur, Ethik und Verhalten Im Rahmen der die Kultur, die Ethik und das Verhalten beschreibt, ist vor allem das Verhalten der Stakeholder zu beachten. Es ist wichtig, dass man die Unternehmenskultur kennt, um die Sicherheitsaspekte möglichst ohne deren Einschränkung einführen kann. Da in der Unternehmenskultur Änderungen oft auf Wiederstand stossen, müssen diese von den Verantwortlichen vorgelebt werden.

Kapitel 1: COBIT 5 9 1.2.5 Information Informationen sind in der heutigen Arbeitswelt all gegenwertig. Die Information ist somit ein Key Enabler für die Information Security. Informationen können in folgende Typen gegliedert werden. Informationstypen Information Security Strategy Information Security Budget Information Security Plan Policies Information Security Requirements Awareness Material Information Security Review Reports Information Security Service Catalogue Information Security Risk Profile Information Security Dashboard Tab. 2: Arten der Information Quelle: Eigene Darstellung basierend auf ISACA 2012c Es gibt in COBIT 5 for Information Security zehn verschiedene Arten von Informationstypen. Diese sind in Tab. 2 ersichtlich. Jeder dieser zehn Typen kann einem Stakeholder zugeordnet werden. 1.2.6 Services, Infrastruktur und Applikationen COBIT 5 for Information Security schlägt eine Reihe von Services vor, die von den Prozessen vorausgesetzt werden. 1.2.7 Personen, Fähigkeiten und Kompetenzen Dieser Bereich von COBIT 5 beschreibt die Fähigkeiten und Kompetenzen des bestmöglichsten Fähigkeitslevels der Mitarbeiter eines Unternehmens. In Wirklichkeit ist dieses jedoch oft schwer oder gar nicht zu erreichen.

Kapitel 2: Weitere Standards 10 2 Weitere Standards Neben COBIT 5 gibt es noch andere Standards über die Informationssicherheit, die international anerkannt sind und eingesetzt werden. Hierzu gehören der ISO Standard, sowie der BSI Grundschutz. 2.1 ISO 27001 Bei ISO 27001 handelt es sich um einen international anerkannten Standard, der von der ISO (Internationale Organisation für Standardisierung) und dem IEC (Internationales elektronisches Komitee) entwickelt, herausgegeben und gepflegt wird. Mit ISO 27001 können Organisationen aller Branchen ihre Prozesse und Massnahmen zur Gewährleistung der Informationssicherheit zertifizieren lassen. (mitsm, ohne Datum) 2.1.1 Einleitung ISO 27001 verwendet einen prozessorientierten Ansatz für die Einrichtung, Umsetzung, Durchführung, Überwachung, Überprüfung, Instandhaltung und Verbesserung eines organisationseigenen Informationssicherheits-Managementsystems (ISMS). Folgende Punkte sind für die Anwendenden dieser Norm von besonderer Wichtigkeit: 1. Verständnis der Anforderungen der Organisation an Informationssicherheit, und die Notwendigkeit, eine Leitlinie und Ziele für Informationssicherheit festzulegen; 2. Umsetzung und Betrieb von Maßnahmen, um die Informationssicherheitsrisiken einer Organisation in Zusammenhang mit den allgemeinen Geschäftsrisiken der Organisation zu verwalten; 3. Überwachung und Überprüfung der Leistung und Wirksamkeit des ISMS und 4. ständige Verbesserung auf der Basis von objektiven Messungen. Um die Prozesse zu strukturieren wird das Plan-Do-Check-Act Modell angewandt. (mitsm, ohne Datum) 2.1.2 Anwendungsbereich Die ISO/IEC 27001 kann in allen Arten von Organisationen eingesetzt werden und soll für verschiedene Bereiche innerhalb der Organisation anwendbar sein. Insbesondere in folgenden Punkten kann die Norm zugezogen werden: Formulierung von Anforderungen und Zielsetzungen zur Informationssicherheit Kosteneffizientes Management von Sicherheitsrisiken Sicherstellung der Konformität mit Gesetzen und Regulatoren

Kapitel 2: Weitere Standards 11 Prozessrahmen für die Implementierung und das Management von Maßnahmen zur Sicherstellung von spezifischen Zielen zur Informationssicherheit Definition von neuen Informationssicherheits-Managementprozessen Identifikation und Definition von bestehenden Informationssicherheits- Managementprozessen Definition von Informationssicherheits-Managementtätigkeiten Gebrauch durch interne und externe Auditoren zur Feststellung des Umsetzungsgrades von Richtlinien und Standards (mitsm, ohne Datum) 2.2 BSI Grundschutz Standards Viele Arbeitsprozesse werden heutzutage elektronisch gesteuert und eine große Menge von Informationen ist digital gespeichert, wird verarbeitet und in Netzen übermittelt. Damit sind Organisationen und alle Anwender von dem einwandfreien Funktionieren der eingesetzten IT abhängig. Wachsende Gefährdungspotentiale und die steigende Abhängigkeit von der IT stellen die Anwender vor neue Fragen, nämlich wie kann ich, wo mit welchen Mitteln mehr Informationssicherheit erreichen. (BSI, ohne Datum) 2.2.1 Einleitung Die IT-Grundschutzkataloge vom BSI (Bundesamts für Sicherheit in der Informationstechnik) bilden eine Basis für die Informationssicherheit. So ist z.b. auch der ISO/ICE 27001 auf diesen Grundsätzen aufgebaut. Die BSI-Standards enthalten Empfehlungen zu Prozessen, Verfahren, Vorgehensweisen und Massnahmen in Bezug zur Informationssicherheit. Der BSI-Standard setzt sich aus vier Katalogen zusammen. Dies sind: BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS) BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz BSI-Standard 100-4: Notfallmanagement Für die spätere Gegenüberstellung mit COBIT 5 und ISO/ICE 27001 werden die Kataloge 1-3 zur Hand genommen.

Kapitel 3: Vergleichskriterien 12 3 Vergleichskriterien In diesem Kapitel wird darauf eingegangen wie die Kriterien ausgewählt wurden. 3.1 Auswahl der Kriterien Gemäss Aufgabenstellung hat sich die Projektgruppe gefragt, wie sich verschiedene Sicherheitsframeworks am besten vergleichen lassen. Als erstes wurden die Kriterien aufgebaut, diese wurden auf der Basis von COBIT 5, dem neusten unter den verglichenen Sicherheitsframeworks, erstellt. Danach wurden die weiteren zu vergleichenden Standards beigezogen und Kriterien ergänzt die in diesen Standards erwähnt wurden aber nicht in COBIT 5 enthalten sind. Am Schluss wurden dann noch einige Punkte welche nicht direkt mit den Standards zu tun haben als Kriterien hinzugefügt. 3.2 Einteilung der Kriterien Da die verschiedenen Kriterien noch eher ungeordnet waren wurden diese in verschiedene Übertitel eingeteilt. Diese lauten: Evaluate, Direct and Monitor Align, Plan and Organise Build, Acquire and Implement Deliver, Service and Support Monitor, Evaluate and Assess ISO 27001 Unabhängige Kriterien Die gesamte detaillierte Auflistung der Kriterien sehen sie in Anhang A dieser Arbeit.

Kapitel 4: Vergleich 13 4 Vergleich Dieses Kapitel wird die verschiedenen Prozessbeschreibungen der verschiedenen Standards einander gegenüberstellen. 4.1 Vergleich basierend auf COBIT 5 In den folgenden Darstellungen wird COBIT 5 immer die meisten Punkte erzielen, da die Projektgruppe die Auswahlkriterien anhand des COBIT 5 Standards festgelegt hat. 14 12 10 8 6 4 2 0 Cobit 5 ISO 27001 Cobit 4.0 BSI Abb. 10: Gesamtübersicht Prozesse der verschiedenen Standards Quelle: eigene Darstellung Die Abb. 10 zeigt zuerst einen Überblick über alle fünf Auswahlkriterien aus COBIT 5 und ein Punkt basierend auf ISO 27001. Auf die einzelnen Punkte wird nachfolgend eingegangen.

Kapitel 4: Vergleich 14 6 Evaluate, Direct and Monitor 5 4 3 2 1 0 Cobit 5 ISO 27001 Cobit 4.0 BSI Abb. 11: Prozessanzahl Evaluate, Direct and Monitor Quelle: eigene Darstellung COBIT 5, sowie ISO 27001 zeigen fünf Prozesse im Evaluate, Direct and Monitor auf (vgl. Abb. 11). In COBIT 4.0 wird dieser Bereich nicht abgedeckt. Der BSI Grundschutz stellt dazu zwei Prozesse dar. 14 Align, Plan and Organise 12 10 8 6 4 2 0 Cobit 5 ISO 27001 Cobit 4.0 BSI Abb. 12: Prozessanzahl Align, Plan and Organise Quelle: eigene Darstellung Im Align, Plan and Organise beschreibt COBIT 5 13 Prozesse. In ISO 27001 werden acht Prozesse aufgezeigt, in COBIT 4.0 neun Prozesse und in BSI sechs Prozesse, welche näher auf das ausrichten, planen und organisieren eingehen. (vgl. Abb. 12)

Kapitel 4: Vergleich 15 12 Build, Aquire and Implement 10 8 6 4 2 0 Cobit 5 ISO 27001 Cobit 4.0 BSI Abb. 13: Prozessanzahl Build, Aquire and Implement Quelle: eigene Darstellung In Abb. 13 wird die Anzahl Prozesse im Bereich Build, Aquire and Implement dargestellt. COBIT 5 zählt dazu zehn Prozesse, die anderen Standards haben hier weit weniger Prozesse. In ISO 27001 sind es drei Prozesse, in COBIT 4.0 auch drei Prozesse und in BSI vier Prozesse. 7 Deliver, Service and Support 6 5 4 3 2 1 0 Cobit 5 ISO 27001 Cobit 4.0 BSI Abb. 14: Prozessanzahl Deliver, Service and Support Quelle: eigene Darstellung Im Punkt Deliver, Service and Support (vgl. Abb. 14) haben die drei Standards COBIT 5, ISO 27001 und COBIT 4.0 fast gleich viele Prozesse, nämlich fünf resp. sechs Punkte. Einzig BSI hat zu diesem Punkt nur zwei Prozesse.

Kapitel 4: Vergleich 16 3.5 3 2.5 2 1.5 1 0.5 Monitor, Evaluate and Assess 0 Cobit 5 ISO 27001 Cobit 4.0 BSI Abb. 15: Prozessanzahl Monitor, Evaluate and Assess Quelle: eigene Darstellung Im Bereich von Monitor, Evaluate and Assess (Abb. 15) haben die Standards COBIT 5, ISO 27001 und COBIT 4.0 alle drei Prozesse, die diesen Punkt beschreiben. Der BSI Grundschutz stellt keinen Prozess in diesem Bereich dar. 4.2 Vergleich basierend auf ISO 27001 ISO 27001 basierende Merkmale 10 9 8 7 6 5 4 3 2 1 0 Cobit 5 ISO 27001 Cobit 4.0 BSI Abb. 16 Prozessanzahl basierend auf ISO 27001 Quelle: eigene Darstellung Zusätzlich neben der Ausganglage, die sich die Projektgruppe gestellt hat, hat die Gruppe im ISO 27001 und im BSI noch je neun weitere Prozesse gefunden, welche in COBIT 5 und in COBIT 4.0 nicht aufgezeigt sind (Abb. 16). Diese bestehen aus der physischen und umgebungsbezogenen Sicherheit (2 Prozesse) sowie der Zugangskontrolle (7 Prozesse).

Kapitel 4: Vergleich 17 4.3 Zertifizierung Die Zertifizierung kann in allen Standards erreicht werden. Sowohl mit ISO als auch mit BSI wird die Unternehmung zertifiziert, in Cobit hingegen können sich nur einzelne Personen auf dem Standard zertifizieren lassen. Der Standard von ISO 27001 ist der bekannteste und meist verbreitete, da es viele verschiedene ISO Standards gibt und diese für viele Bereiche verwendet werden können. Da in Cobit nur Personen zertifiziert werden können, sagt die Cobit Zertifizierung lediglich aus, dass diese Personen COBIT kennen und es implementieren können, es fehlt jedoch eine Aussage über die Unternehmung. Es fehlt somit eine Zertifizierung der Unternehmung nach dem COBIT-Standard.

Kapitel 5: Empfehlungen 18 5 Empfehlungen 5.1 Szenario A Wenn eine grössere Firma Applikationen selbst erstellt, verwaltet und implementiert, ist es Sinnvoll mit COBIT 5 zu arbeiten. COBIT 5 hat in diesem Bereich zehn Standards, welche Empfehlungen geben und Hilfestellung anbieten. Die drei anderen untersuchten Standards haben jeweils nur drei bis vier Prozesse im Bereich Build, Aquire and Implement. 5.2 Szenario B Wird in grösseren Unternehmen international gearbeitet und grossen Wert auf die Zertifizierung gelegt, ist es sinnvoll diese nach ISO durchzuführen. BSI ist ein deutscher Standard und COBIT 5 noch relativ neu, weshalb beide noch etwas weniger verbreitet sind als ISO. Weiterhin gibt es verschiedene ISO Standards welche gut zusammen mit der ISO 27001 Zertifizierung verwendet werden können. 5.3 Szenario C Für kleinere Firmen ist BSI Grundschutz ein guter Ansatz. Dieses ist für diese etwas weniger strikt und umfangreich definiert und erlaubt eine einfachere Implementation von Security- Standards. BSI kann ebenfalls zertifiziert werden und gibt der Firma noch etwas freiere Hand, beispielsweise im Risikomanagement. 5.4 Empfehlung an ISACA Für ISACA wäre es sinnvoll ein Cobit light für KMU s zu entwickeln. Diese haben zurzeit mit COBIT zu viel Aufwand und sind mit dem BSI Grundschutz besser bedient.

Quellenverzeichnis 19 Quellenverzeichnis Bundesamt für Sicherheit in der Informationstechnik. (ohne Datum). IT-Grundschutz. Gefunden am 15.10.2012 unter https://www.bsi.bund.de/de/themen/itgrundschutz/itgrundschutz_node.html Information System Audit an Control Association [ISACA]. (2012a). COBIT 5-Introduction. Gefunden am 25.09.2012 unter http://www.isaca.org/cobit/documents/cobit5- Introduction.ppt ISACA. (2012b). COBIT 5 Framework. Rolling Meadows: Autor. ISACA. (2012c). COBIT 5 for Information Security. Rolling Meadows: Autor. mitsm. (ohne Datum). Wissenswertes: Fragen und Antworten rund um ISO/IEC 27000. Gefunden am 15.10.2012 unter http://www.mitsm.de/wissen/iso-27000- knowledge/fragen-und-antworten-zum-iso-27000-standard

Physische und umgebungsbezogene Sicherheit 0 1 0 1 0 1 0 1 Anhänge 1 Anhänge Anhang A Cobit 5 ISO 27001 Cobit 4.0 BSI Evaluate, Direct and Monitor Cobit 5 ISO 27001 Cobit 4.0 BSI Gibt es Regelungen bezüglich 1 1 0 1 Werden die erstellten Vorteile 1 1 0 1 Werden Risiken optimiert? 1 1 0 0 Gibt es eine 1 1 0 0 Werden Stakeholder mit 1 1 0 0 Align, Plan and Organise Cobit 5 ISO 27001 Cobit 4.0 BSI Verwalten von IT Management 1 1 0 0 Verwalten von Strategien 1 1 1 0 Verwalten der 1 0 1 1 Verwalten von Innovation 1 0 0 0 Verwalten des Portfolios 1 0 0 0 Verwalten des Budget und der 1 0 1 0 Verwalten des Personals 1 1 1 1 Verwalten der Beziehungen 1 1 1 1 Verwalten von Service-Verträgen 1 0 1 0 Verwalten von Lieferanten 1 1 1 1 Verwalten der Qualität 1 1 1 0 Verwalten des Risikos 1 1 1 1 Verwalten der Sicherheit 1 1 0 1 Build, Aquire and Implement Cobit 5 ISO 27001 Cobit 4.0 BSI Verwalten von Programmen und 1 0 1 1 Verwalten von 1 0 0 1 Verwalten von 1 1 1 0 Verwalten der Erreichbarkeit und 1 0 0 0 Verwalten von Organisatorischen 1 0 0 0 Verwalten von Change 1 0 1 1 Verwalten der Akzeptanz der Veränderung und dem Übergang 1 0 0 0 Verwalten von Wissen 1 1 0 1 Verwalten von Anlagen 1 1 0 0 Verwalten der Konfiguration 1 0 0 0 Deliver, Service and Support Cobit 5 ISO 27001 Cobit 4.0 BSI Verwalten des Betriebs 1 1 1 1 Verwalten von Servicerequests und Ereignisse 1 1 1 0 Verwalten von Problemen 1 0 1 1 Verwalten der Kontinuität 1 1 1 0 Verwalten von Sicherheitsservicen 1 1 1 0 Verwalten von Kontrollen der Businessprozessen 1 1 1 0 Monitor, Evaluate and Assess Cobit 5 ISO 27001 Cobit 4.0 BSI Überwachen, beurteilen und bewerten der Leistung und Übereinstimmung 1 1 1 0 Überwachen, beurteilen und bewerten des Systems der internen Kontrolle 1 1 1 0 Überwachen, beurteilen und bewerten die Compliance mit externen Anforderungen 1 1 1 0 ISO 27001 basierende COBIT Merkmale 5 FOR INFORMATION SECURITY Cobit 5 EIN VERGLEICH ISO 27001 Cobit 4.0 BSI

Verwalten des Betriebs 1 1 1 1 Verwalten von Servicerequests und Ereignisse 1 1 1 0 Verwalten von Problemen 1 0 1 1 Anhänge Verwalten der Kontinuität 1 1 1 0 Verwalten von 2 Sicherheitsservicen 1 1 1 0 Verwalten von Kontrollen der Businessprozessen 1 1 1 0 Monitor, Evaluate and Assess Cobit 5 ISO 27001 Cobit 4.0 BSI Überwachen, beurteilen und bewerten der Leistung und Übereinstimmung 1 1 1 0 Überwachen, beurteilen und bewerten des Systems der internen Kontrolle 1 1 1 0 Überwachen, beurteilen und bewerten die Compliance mit externen Anforderungen 1 1 1 0 ISO 27001 basierende Merkmale Cobit 5 ISO 27001 Cobit 4.0 BSI Physische und umgebungsbezogene Sicherheit 0 1 0 1 0 1 0 1 Zugangskontrolle 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 Cobit 5 ISO 27001 Cobit 4.0 BSI Evaluate, Direct and Monitor 5 5 0 2 Align, Plan and Organise 13 8 9 6 Build, Aquire and Implement 10 3 3 4 Deliver, Service and Support 6 5 6 2 Monitor, Evaluate and Assess 3 3 3 0 ISO 27001 basierende Merkmale 0 9 0 9

Vertraulichkeitserklärung Wir erklären hiermit, dass wir: - den Inhalt dieser Arbeit unter Angabe aller relevanten Quellen selbständig verfasst haben. - die uns anvertrauten Informationen von Seiten der Kundschaft auch nach Abgabe der Arbeit vertraulich behandeln werden. - ohne Zustimmung der Wissenstransferstelle WTT-FHS und der Kundschaft keine Kopien dieser Arbeit an Dritte aushändigen werden. Ort/Datum: Namen: St. Gallen, 04.01.2013 Tobias Angehrn Michael Schubiger Pascal Eigenmann Gabriela Caduff